Hacker sfruttano le PWA per rubare credenziali bancarie su dispositivi iOS e Android

• Utilizzo ingannevole delle PWA per eludere la sicurezza;
• Attacchi in crescita in Polonia, Repubblica Ceca, Ungheria e Georgia;
• Tecniche di phishing avanzate tramite smishing e malvertising.

Le Progressive Web App (PWA), conosciute per la loro capacità di funzionare su diverse piattaforme con un’esperienza quasi identica alle app native, stanno diventando uno strumento prediletto dagli hacker per rubare credenziali bancarie su dispositivi iOS e Android.

Queste applicazioni, che possono essere installate direttamente dal browser, offrono funzioni avanzate come notifiche push, accesso all’hardware del dispositivo e sincronizzazione dei dati in background. Tuttavia, questa loro versatilità sta venendo sfruttata in modo malevolo, con gli attaccanti che le utilizzano per camuffarsi da app bancarie legittime.

La minaccia è emersa per la prima volta nel luglio 2023 in Polonia, dove gli hacker hanno utilizzato PWA per ingannare gli utenti facendogli credere di installare un aggiornamento di sicurezza critico per la loro app bancaria.

Questo tipo di attacco è stato poi replicato in Repubblica Ceca a novembre dello stesso anno. Le campagne, osservate attentamente dalla società di sicurezza informatica ESET, si sono evolute, prendendo di mira nuove vittime in Ungheria e Georgia.

Tecniche di phishing sempre più sofisticate: smishing e malvertising

La crescente sofisticazione delle tecniche di phishing è evidenziata dall’uso combinato di smishing e malvertising nelle recenti campagne mirate a rubare credenziali bancarie tramite PWA. Questi metodi, che ingannano gli utenti sfruttando la fiducia nelle comunicazioni apparentemente legittime, rappresentano una minaccia significativa per la sicurezza informatica.

Smishing, o phishing tramite SMS, è una delle tecniche più diffuse in queste campagne. I criminali informatici inviano messaggi che simulano comunicazioni ufficiali da parte delle banche, avvisando gli utenti di presunte problematiche con la loro app bancaria.

Parallelamente, i cybercriminali utilizzano malvertising, una tecnica in cui pubblicità malevole vengono distribuite attraverso piattaforme di advertising legittime, come quelle di Facebook. Queste pubblicità spesso sfruttano l’immagine della mascotte ufficiale della banca o altre componenti visive familiari per rendere l’annuncio credibile.

In entrambi i casi, gli utenti vengono indirizzati a pagine di download fasulle, create per somigliare a Google Play o all’App Store, a seconda del dispositivo utilizzato. Questo livello di inganno rende estremamente difficile per l’utente medio distinguere la frode dalla realtà.